据链上侦探ScamSniffer称,黑客在六个月内用Create2从以太坊钱包中窃取了价值6000多万美元的加密货币。
周日,X用户ScamSniffer声称,黑客利用Create2预先计算合同地址的能力,为每个恶意签名生成新地址。
当用户发送资金或参与合同时,通常会提示他们“批准”签名。黑客利用这一过程,在签名中隐藏未经授权的权限,从而访问用户的钱包。
Create2的使用使黑客能够绕过安全警报,这些警报通常会在用户签署签名之前向用户发出警告。
Create2是Uniswap等平台使用的代码组件,允许在合同实际部署在以太坊网络上之前预测其地址。
ScamSniffer和SlowMist进行的研究表明,在过去六个月里,大约99000名受害者偷走了大约6000万美元。ScamSniffer还报道称,自8月以来,另一个黑客组织一直在利用Create2代码从11名受害者那里潜逃,其中一人损失了近160万美元。
通过利用Create2的地址计算方法,攻击者可以主动离线生成大量地址。随后,他们提取与目标地址非常相似的地址,使他们能够发起以“地址中毒”为目的的伪造转账
比南斯几乎是最近又一个地址中毒的受害者。8月,币安向一个虚假地址发送了2000万美元。然而,据创始人赵介绍,该公司在交易后立即注意到了错误,并能够及时请求冻结转让的USDT。
近几个月来,加密货币相关的黑客攻击和漏洞攻击激增,最近Poloniex的热钱包漏洞就是一个例子,导致1.14亿美元的损失。此外,LastPass漏洞的受害者在10月份的一天内遭受了440万美元的损失。
微信里点“发现”,扫一下二维码便可将本篇文章分享至朋友圈